Você está visualizando atualmente O Malware Anteriormente Desconhecido (também conhecido como Pá Escondida) É Um Fantasma na Máquina: Ele Ataca Silenciosamente Drivers de Kernel para Desativar Sistemas de Defesa de Segurança e, Assim, Evitar a Detecção

O Malware Anteriormente Desconhecido (também conhecido como Pá Escondida) É Um Fantasma na Máquina: Ele Ataca Silenciosamente Drivers de Kernel para Desativar Sistemas de Defesa de Segurança e, Assim, Evitar a Detecção

Uma nova malware que visa drivers vulneráveis para encerrar e assim evitar soluções de detecção e resposta de endpoints (EDR) veio à tona, sendo usada agora em um elaborado campanha de mineração de criptomoedas.

Pesquisadores do Elastic Security Labs identificaram o que eles estão chamando de um “conjunto de intrusão” chamado “REF4578”, que usa uma malware multimodal chamada GhostEngine; eles revelaram em um post no blog publicado hoje. O ataque também demonstra capacidades para estabelecer persistência, além de instalar um backdoor não documentado anteriormente, além de executar um minerador de criptomoedas.

“GhostEngine aproveita drivers vulneráveis para encerrar e excluir agentes EDR conhecidos que provavelmente interfeririam com o minerador de moedas implantado e bem conhecido,” escreveram os pesquisadores do Elastic Salim Bitam, Samir Bousseaden, Terrance DeJesus e Andrew Pease no post. “Essa campanha envolveu uma quantidade incomum de complexidade para garantir a instalação e persistência do minerador XMRig.”

Enquanto isso, uma equipe da Antiy Labs também observou os ataques, chamando a carga útil de “Pá de Ocultação” e caracterizando-a como um “cavalo de Troia de mineração” que oferece uma abordagem de duas etapas para desabilitar o EDR e instalar um backdoor, de acordo com um post no blog.

Ultimamente, o objetivo da campanha descrito por ambos os conjuntos de pesquisadores é derrubar as barreiras de segurança presentes em uma rede corporativa e usá-la para minerar criptomoedas sem que os administradores detectem a ação. O minerador legítimo XMRig usado pelos atacantes é usado para minerar Monero.

Nenhuma equipe de segurança detalhou quais organizações ou indivíduos são alvos da campanha, nem identificou qual ator de ameaça pode estar por trás dela.

O Vetor de Ataque GhostEngine

Como descrito pelo Elastic, a intrusão inicial do REF4578 ocorre com a execução de um arquivo PE chamado Tiworker.exe que se faz passar pelo arquivo legítimo do Windows TiWorker.exe.

“Este arquivo faz o download e executa um script PowerShell que orquestra todo o fluxo de execução da intrusão”, escreveram os pesquisadores. Este processo faz o download de ferramentas de ataque do atacante, módulos de malware GhostEngine e configurações do servidor de comando e controle (C2) do atacante.

O GhostEngine então procede a fazer o download e executar seus vários módulos de ataque na máquina. Suas tarefas também incluem limpar o sistema de resquícios de infecções anteriores pertencentes à mesma família de malware, mas de campanhas diferentes, além de tentar desativar o Windows Defender e limpar vários canais de log de eventos do Windows.

O malware também possui um mecanismo de persistência e um processo para fazer o download de seus módulos no sistema infectado. Esses módulos “podem interferir em ferramentas de segurança, criar um backdoor e verificar as atualizações de software”, escreveram os pesquisadores.

Mais interessante ainda, os módulos incluem um controlador de agente EDR e o módulo do minerador que principalmente encerra quaisquer processos de agente EDR ativos antes de baixar e instalar um minerador de criptomoedas. É escrito em C++, e possui redundância em suas operações, de acordo com o Elastic. Também inclui um script PowerShell que funciona como um backdoor, permitindo a execução de comandos remotos no sistema. Os pesquisadores do Elastic também extrairam o arquivo de configuração do minerador XMRig usado na campanha, “o que foi tremendamente valioso, pois nos permitiu relatar o ID de pagamento do Monero e rastrear as estatísticas do trabalhador e da pool, criptomoeda minerada, IDs de transação e retiradas,” eles escreveram.

Detectando o GhostEngine

Como os atacantes são conhecidos por montar ataques que evitam soluções EDR antes, é importante para os defensores identificar como detectar quando essas barreiras foram comprometidas.

No caso da malware GhostEngine, seu primeiro objetivo é incapacitar as soluções de segurança de endpoints e desativar logs específicos do Windows – como logs de segurança e do sistema, que registram a criação de processos e o registro de serviços.

Assim, os pesquisadores recomendaram que as organizações priorizem a detecção e prevenção dessas ações iniciais para detectar sua presença em uma rede, incluindo: execução suspeita do PowerShell; execução de diretórios incomuns; elevação de privilégios para integridade do sistema; e instalação de drivers vulneráveis e estabelecimento de serviços de modo kernel associados.

“Uma vez que os drivers vulneráveis são carregados, as oportunidades de detecção diminuem significativamente, e as organizações precisam encontrar endpoints comprometidos que parem de transmitir logs para seu SIEM,” escreveram os pesquisadores do Elastic.

Além disso, o tráfego de rede pode gerar e ser identificável se as consultas de registros DNS apontarem para domínios conhecidos de pool de mineração em portas bem conhecidas como HTTP (80) e HTTPS (443), observaram os pesquisadores. Enquanto isso, Stratum é outro protocolo de rede popular para mineradores, por padrão, na porta 4444, disseram eles.

Regras de detecção e eventos de prevenção de comportamento associados à campanha incluem o seguinte: downloads suspeitos do PowerShell; controle de serviço iniciado via Interpretação de Scripts; criação de tarefa agendada local; execução de processo de um diretor incomum; relação de pai-filho incomum; limpeza de logs de eventos do Windows; e manipulação do Microsoft Windows Defender, entre outros.